Kako ukloniti LockScreen / Ransomware / “Police virus” / “MUP virus”

Pitanje

  • Obavijest koja izgleda kao da je od MUP-a zaključala je ekran računala i traži od vas da platite kaznu.
(1) Detalji (2) Čišćenje (3) Dodatne akcije (4) Za naprednije korisnike

(1) Detalji

  • Tzv. LockScreen (poznat i pod nazivima ransomware, “policijski virus”, “MUP virus”, “FBI”, …) nije virus nego obična izvršna datoteka koja se instalira na računalo korištenjem propusta u Javi i programiran je da bi ometao korisnika u radu te ga naveo da plati navodnu kaznu i time autoru ovog zlonamjernog programa donio financijsku korist. Ovaj program na računalo se instalira isključivo kod korisnika kojima Java ili neki drugi programi, uključujući i operacijski sustav Windows, nisu ažurirani na najnoviju dostupnu verziju ili nisu preuzeli i instalirali najnovije sigurnosne zakrpe. Program po pokretanju blokira pristup radnoj površini i na ekranu prikaže polupismen tekst koji upozorava korisnika da je zbog protuzakonitog korištenja Interneta dužan platiti kaznu (vidi sliku 1-1). U gotovo svim prijavljenim incidentima program se aktivirao tako da su korisnici kliknuli na link koji im je bio ponuđen u e-poruci ili na nekoj web-stranici – trik koji uspješno djeluje već desetljećima. Link je otvorio stranicu na kompromitiranom web-serveru te zahvaljujući Javi preuzeo, instalirao i pokrenuo izvršnu datoteku.
Slika 1-1 Svaki dan otkrivaju se nove varijante ovoga zlonamjernog programa, ovdje ćemo opisati nekoliko načešćih:

Varijanta A

  • stvara datoteke "%AppData%SKYPE.*", "%AppData%ALTSHELL.*" ili “%AppData%CACHE.*” ->[*1]
  • kreira (ili mijenja) zapis u registru: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon -> Shell tako da na sadržaj "EXPLORER.EXE" doda putanju do svog izvršnog programa, pa u konačnici stavka izgleda ovako: "EXPLORER.EXE,%AppData%SKYPE.DAT" (ili odgovarajući alternativni naziv) (ako stavka Shell nije postojala u Registru, malware će ju stvoriti)
  • u direktorij %Tmp% kopira datoteke potrebne za prikaz HTML stranice

Varijanta B

Razlikuje se samo u nazivu datoteka – umjesto SKYPE.* instalira datoteke pod nazivom "ALTSHELL.DAT" i "ALTSHELL.INI" i stvara odgovarajući zapis u Registru.

Varijanta C

Razlikuje se samo u nazivu datoteka – stvara datoteke pod nazivom “CACHE.DAT” i “CACHE.INI” i odgovarajući zapis u Registru.

(2) Čišćenje

(2.1) Automatsko čišćenje

ESET je omogućio nevidljivo brisanje novih / nepoznatih verzija ovog programa. Ukoliko se nova verzija programa uspjela instalirati na računalo, dovoljno je:
  • isključiti računalo
  • pričekati 10-tak minuta
  • uključiti računalo
  • pričekati 10-tak minuta
  • ponovno isključite računalo
  • pričekajte 10-tak minuta
  • uključite računalo
Iako izgleda da je računalo blokirano, ESET-ovi programi se nadograđuju i komuniciraju sa serverima. Tijekom tog postupka ESET-ovi programi će poslati na analizu sumnjivi uzorak, pokrenuti aktualizaciju baze virusnih potpisa i inicijalno skeniranje sustava, te ukloniti program. Ako to ne pomogne u slučaju, prijeđite na točku (2.2).

(2.1) Pokretanje računala u “Safe mode with command prompt”

  • Isključite računalo
  • Uključite ga i pokrenite u “Safe mode with command prompt” (drugi načini uglavnom ne omogućuju uklanjanje) – Pogledajte sliku 1-2
  • Upute za pokretanje računala u “Safe mode with command promptmožete pronaći ovdje Microsoft ima upute “Opis mogućnosti pokretanja sustava Windows XP u sigurnom načinu rada” na ovoj web adresi. (tekst vrijedi za sve verzije Windowsa)
  • Pričekajte da se pojavi tekst C:\Windows\System32> _ ili C:\Documents and settings\%username%> _
Slika 1-2: Safe mode with command prompt kliknite na sliku za veći prikaz

(2.3) Čišćenje registra

  • Osigurajte da je računalo pokrenuto u “Safe mode with command prompt
  • pokrenite RegEdit tako da u naredbeni redak upišete naredbu regedit i potom pritisnete tipku ENTER
  • otvorite granu “My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”
  • označite stavku “Shell”
  • Zabilježite putanju i naziv izvršne datoteke zlonamjernog programa. Putanja i naziv datoteke nalaze se iza teksta EXPLORER.EXE (pogledajte sliku 1-3). Ovo je bitno zbog kasnijeg brisanja samog zlonamjernog programa.
  • u stavki “Shell” uklonite sav tekst osim EXPLORER.EXE (Pogledajte sliku 1-3) (primjer: umjesto teksta “EXPLORER.EXE,C:\Documents and Settings\%username%\Application Data\SKYPE.DAT” treba ostati samo “EXPLORER.EXE”)
lockscreen ransomware police mup virus Slika 1-3: Čišćenje registra kliknite na sliku za veći prikaz

(2.4) Brisanje zlonamjernog programa

  • Osigurajte da je računalo pokrenuto u “Safe mode with command prompt
  • Pričekajte da se pojavi tekst C:\Windows\System32> _ ili C:\Documents and settings\%username%> _
  • Utipkajte CD %APPDATA%
  • Utipkajte DEL pa (naziv izvršne datoteke zlonamjernog programa).* i pritisnite tipku [Enter] Važno je da upišete naziv te datoteke bez ekstenzije, a potom upišete znak “.” (točka), pa znak “*” (“zvjezdica”)
  • (moguću poruku “Could not find (…) (naziv datoteke zlonamjernog programa.*)” ignorirajte i krenite na sljedeći korak)

(2.5) Čišćenje diska

 

(3) Dodatne akcije

Kako biste operacijski sustav održali zaštićenim od ovakvih zlonamjernih programa koji ne spadaju u kategoriju virusa, crva ili sličnih infektivnih datoteka, neophodno je ažurirati komponente Windowsa i aplikacija:

(4) Za naprednije korisnike

  • pokrenite računalo u Safe mode with Command Prompt
  • Uklonite zapis iz Registry baze prema uputama u točki 2.3 ove upute
  • Nakon uklanjanja zapisa iz Registry baze utipkajte sljedeće naredbe:
    • DEL %AppData%(naziv izvršne datoteke zlonamjernog programa).*
    • DEL %TMP%*.* /Q
  • restartajte računalo u uobičajeni način rada
  • nadogradite OS i aplikacije
->[*1] %AppData% … sistemska varijabla koja ukazuje na sljedeće lokacije:
  • Windows XP… C:\Documents and Settings\%userName%\Application Data
  • Windows 7… C:\Users\%UserName%\AppData\Roaming
->[*2] U slučaju da je ESET-ov program u trenutku napada bio aktualiziran i usprkos tome nije prepoznao zlonamjernu datoteku, radi se o novoj varijanti malwarea i molimo da nam što prije pošaljete uzorak ( upute za slanje).
Ključne riječi: malware, eset, ransomware, lockscreen, kryptik, mup rh, policija, fbi, čišćenje, ciscenje

(posljednji puta revidirano 27.03.2020) SOLN3140

image_pdf

Author: NORT